Chỉ cần một đường link độc hại, hacker có thể đọc toàn bộ bộ nhớ của server AI mà không cần mật khẩu hay quyền truy cập. Lỗ hổng nghiêm trọng vừa được phát hiện trên Ollama - nền tảng chạy AI mã nguồn mở phổ biến nhất hiện tại. Theo ước tính của các chuyên gia an ninh mạng, hơn 300.000 server trên toàn cầu đang gặp nguy hiểm. Điều đáng lo ngại hơn là lỗ hổng này cho phép kẻ tấn công thực hiện từ xa mà không cần xác thực danh tính.

Khi AI trở thành 'máy ATM' cho hacker

CVE-2026-7482 - mã định danh lỗ hổng bảo mật quốc tế được gán cho sự cố này có điểm CVSS (Common Vulnerability Scoring System) lên tới 9.1/10, thuộc mức 'Critical' - nghiêm trọng nhất. Nhóm nghiên cứu bảo mật từ Cyera đã đặt tên mã cho lỗ hổng này là 'Bleeding Llama', ám chỉ việc dữ liệu 'chảy máu' không kiểm soát từ các server AI. Chúng tôi cho rằng cái tên này phản ánh chính xác mức độ nguy hiểm của lỗ hổng.

Ollama là một framework (khung phát triển) mã nguồn mở cho phép người dùng chạy các mô hình AI như Llama, Mistral, hay CodeLlama trên máy tính cá nhân hoặc server. Với hơn 100.000 lượt tải xuống mỗi ngày trên GitHub, Ollama đã trở thành lựa chọn hàng đầu cho các doanh nghiệp muốn triển khai AI nội bộ. Tuy nhiên, sự phổ biến này cũng khiến lỗ hổng trở nên nguy hiểm gấp bội.

Cơ chế tấn công 'đọc trộm' bộ nhớ

Lỗ hổng Out-of-Bounds Read (đọc vượt giới hạn) xảy ra khi chương trình cố gắng truy cập dữ liệu nằm ngoài vùng bộ nhớ được phép. Hacker có thể gửi các request (yêu cầu) được thiết kế đặc biệt đến server Ollama, khiến hệ thống đọc nhầm sang các vùng bộ nhớ khác chứa thông tin nhạy cảm. Điều này tương tự như việc bạn mở nhầm thư của người khác trong hòm thư chung.

Theo phân tích kỹ thuật, kẻ tấn công có thể khai thác lỗ hổng này để đọc toàn bộ process memory (bộ nhớ tiến trình) của Ollama. Process memory chứa mọi thứ từ dữ liệu người dùng, API keys (khóa API), session tokens (mã phiên), cho đến các prompt (câu lệnh) và response (phản hồi) của AI. Chúng tôi đánh giá đây là một trong những lỗ hổng AI nghiêm trọng nhất từng được công bố.

Tác động lan tỏa từ Silicon Valley đến Việt Nam

Con số 300.000 server bị ảnh hưởng không chỉ là thống kê khô khan. Mỗi server có thể phục vụ hàng nghìn người dùng, nghĩa là hàng triệu cá nhân và doanh nghiệp có thể bị ảnh hưởng. Các startup AI, công ty công nghệ, và ngay cả các tổ chức chính phủ sử dụng Ollama để xử lý dữ liệu nội bộ đều nằm trong tầm ngắm. Đặc biệt nghiêm trọng với các tổ chức xử lý thông tin nhạy cảm như ngân hàng, bảo hiểm, và healthcare (chăm sóc sức khỏe).

Tại Việt Nam, theo quan sát của chúng tôi, nhiều công ty fintech và startup AI đang sử dụng Ollama để phát triển chatbot và các ứng dụng AI nội bộ. Vụ việc này có thể ảnh hưởng đến cả các dự án AI của Viettel, FPT, hay VinAI nếu họ có sử dụng Ollama trong quá trình nghiên cứu phát triển. Điều đáng lo ngại là nhiều doanh nghiệp Việt Nam vẫn chưa có quy trình ứng phó lỗ hổng bảo mật AI chuyên nghiệp.

Hướng dẫn bảo vệ khẩn cấp

Các tổ chức đang sử dụng Ollama cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản Ollama hiện tại bằng lệnh 'ollama --version'. Nếu đang dùng phiên bản bị ảnh hưởng, cần ngay lập tức cập nhật lên phiên bản mới nhất đã được vá lỗi. Thứ hai, tạm thời ngắt kết nối internet cho các server Ollama không cần thiết cho đến khi hoàn tất cập nhật.

Ngoài ra, các admin (quản trị viên) cần rà soát toàn bộ log (nhật ký) hệ thống trong 30 ngày qua để phát hiện dấu hiệu tấn công. Đặc biệt chú ý các request bất thường hoặc lưu lượng truy cập cao bất thường. Chúng tôi khuyến nghị các doanh nghiệp Việt Nam nên thiết lập firewall (tường lửa) và chỉ cho phép truy cập Ollama từ các IP nội bộ. Cuối cùng, cân nhắc rotate (thay đổi) toàn bộ API keys và credentials (thông tin xác thực) có thể đã bị lộ qua lỗ hổng này.